FreeDroidWarn

 (github.com/woheller69)
2 points par GN⁺ 2025-09-03 | 1 commentaires | Partager sur WhatsApp
  • FreeDroidWarn est une bibliothèque Android open source créée pour répondre à la nouvelle politique de vérification des développeurs de Google
  • À partir de 2026/2027, Google prévoit d’exiger aussi des applications distribuées hors du Play Store la soumission de l’identité du développeur
  • Cette bibliothèque fournit une fonction de notification d’avertissement indiquant que l’application pourrait ne plus fonctionner sur des appareils Android certifiés si le développeur ne fournit pas directement son identité à Google
  • C’est une solution utile pour les développeurs d’applications qui n’acceptent pas cette politique pour des raisons de sécurité et de confidentialité
  • Elle peut être utilisée et personnalisée librement sous licence Apache-2.0

Présentation de FreeDroidWarn

  • FreeDroidWarn est une bibliothèque conçue pour répondre à la politique de Google qui imposera à partir de 2026/2027 la vérification de l’identité des développeurs également pour les applications Android distribuées en dehors du Play Store
  • La bibliothèque fournit, via une fenêtre d’avertissement, une fonction informant l’utilisateur que l’application concernée pourrait ne plus fonctionner à l’avenir sur des appareils Android certifiés

Principales fonctionnalités et objectif

  • Selon la politique de Google, à partir de 2026/2027, sur tous les appareils Android certifiés, les développeurs d’applications auront l’obligation de soumettre directement à Google leurs informations d’identité personnelle
  • Les développeurs qui n’acceptent pas cette exigence doivent fournir eux-mêmes aux utilisateurs une notification d’arrêt de prise en charge de l’application et de changement de politique
  • FreeDroidWarn permet, dans cette situation, aux développeurs d’expliquer clairement aux utilisateurs le changement de politique et l’éventuelle indisponibilité future

Utilisation

  • Dans le onCreate de l’application, appelez la méthode FreeDroidWarn.showWarningOnUpgrade(this, BuildConfig.VERSION_CODE); pour afficher un avertissement
  • La bibliothèque peut être ajoutée simplement sans saisie de données personnelles, et informe les utilisateurs via le message d’avertissement du contenu de la nouvelle politique de Google relative à la vérification des développeurs

Licence et autres informations

  • Distribuée sous licence Apache V2.0, elle peut être utilisée librement dans des projets commerciaux et open source
  • Tout le code est publié sur GitHub, et chacun peut l’améliorer et la personnaliser

Importance et avantages de FreeDroidWarn

  • C’est une alternative importante pour les développeurs qui n’acceptent pas la politique de vérification de l’identité des développeurs de Google, ou qui ne souhaitent pas fournir d’informations d’identité supplémentaires pour des raisons de confidentialité et de sécurité
  • Par rapport à d’autres bibliothèques, c’est un choix judicieux grâce à son API simple, sa structure open source et ses indications utilisateur concrètes et claires
  • Elle est particulièrement utile pour les développeurs qui veulent introduire une information préventive afin de réduire au minimum la confusion des utilisateurs pendant la transition de politique

À lire aussi

1 commentaires

 
GN⁺ 2025-09-03
Avis Hacker News

  • Ce problème de restriction des utilisateurs ressemble à Manifest V3 de Chromium

    • J’en ai eu assez de cette structure monopolistique, donc je suis passé à un smartphone Linux, j’ai aussi changé de banque et j’utilise maintenant ma carte bancaire comme appareil de 2FA, un peu comme CAP Présentation du Chip Authentication Program
    • Je me demande ce qui se passerait si nous décidions tous d’utiliser le web pour les opérations bancaires ; c’est moins pratique, mais c’est optimisé pour le desktop, et personne ne vérifie non plus qui a signé mon kernel, donc c’est plus libre
    • Un bon nombre de banques, surtout les plus importantes, acceptent GrapheneOS ; en Norvège, DNB et BankID le prennent clairement en charge. Le plus important est de trouver une banque avec de bons programmeurs ; j’ai choisi DNB après une analyse avec uMatrix, car il n’y avait aucun tracker tiers, alors que SpareBank en avait beaucoup
    • Si la banque n’est pas sur mon appareil principal, on peut utiliser un téléphone secondaire ou un appareil Android d’occasion un peu moins cher, et quand c’est possible, utiliser simplement le site web reste aussi une option ; moi aussi, je compte bientôt passer à Linux
    • Je vis en Thaïlande, où tout est centré sur le mobile et où le principal moyen de paiement est l’app bancaire. On scanne un QR, l’app s’ouvre et on fait immédiatement le virement, c’est vraiment pratique. Mais c’est en train de devenir l’unique moyen de paiement. Ce n’est que le début, et je pense que dans 20 à 30 ans l’Occident suivra le même chemin, peut-être encore plus vite dans les pays en développement. Sans « app certifiée », on sera exclu du système financier, et elle ne fonctionnera que sur des systèmes d’exploitation autorisés. Tout cela est au fond l’aboutissement de l’autoritarisme et du capitalisme de surveillance ; toutes les améliorations de sécurité et de confort sont en réalité des pièces du puzzle nécessaires à la surveillance. À mon avis, ce n’est pas un complot planifié, mais la conséquence naturelle du système capitaliste. Je ne suis pas religieux, mais l’expression « marque de la bête » me semble étrangement réaliste

  • Les contre-mesures techniques face à l’atteinte à la propriété ont leurs limites, et au final c’est exactement le scénario voulu par les grandes entreprises ; une réponse législative est indispensable

    • C’est précisément la bonne réponse sociale : informer les utilisateurs du problème, faire pression pour qu’ils n’upgradent pas, et à long terme exiger une action législative
    • Il faut absolument un call-to-action qui explique directement aux utilisateurs comment se battre
    • Ce qu’il faut pousser concrètement : abroger le traité de l’OMPI sur le droit d’auteur, retirer le DMCA, surtout la section 1201, légiférer et renforcer le droit de propriété et le droit à la réparation, démanteler les monopoles et appliquer les lois antitrust
    • Comme c’est open source, il n’y a pas besoin de législation ; l’open source donne déjà cette liberté. Il faut aller dans une direction qui profite à tout le monde, pas seulement dans le sens que vous voulez. Comme 99 % des gens cherchent à empêcher les abus, ce combat est en pratique impossible

  • Si cette bibliothèque est sous GPLv3, cela risque au contraire de limiter sa diffusion ; en dehors de la traduction, elle ne semble pas avoir une valeur très distinctive, et la plupart des développeurs d’apps ont déjà un pipeline de traduction. Le code est si simple qu’on peut même douter qu’il atteigne le seuil de protection par le droit d’auteur

    • J’ai l’impression que la valeur du copier-coller de code, c’est-à-dire du vendoring, est sous-estimée. Je pense qu’il vaut mieux reprendre directement dix mille lignes de code plutôt que d’ajouter une dépendance ; dans un projet Go, j’ai vendorisé telle quelle l’implémentation CPIO de u-root, et cela a beaucoup réduit les dépendances À propos de u-root CPIO
    • De nos jours, j’ai l’impression que ce n’est guère différent d’une ligne is-even sur npm
    • Je recommande à l’OP de passer en LGPLv3 ; cela préserverait la liberté des utilisateurs tout en réduisant la réticence
    • La licence a été changée en Apache V2.0
    • La licence a de nouveau été changée en Apache V2.0

  • Google a annoncé qu’à partir de 2026/2027, toutes les apps destinées aux appareils Android certifiés devront soumettre les informations personnelles du développeur. Comme le développeur de cette app n’accepte pas cela, elle ne fonctionnera plus sur Android certifié après cette date ; au moins, cela sert d’avertissement aux utilisateurs

  • La GPLv3 semble trop stricte pour ce type de projet ; la diffusion du message paraît plus importante que la liberté du code

    • La licence a déjà été changée en Apache V2.0

  • Le timing est bon. Moi, je réglerais ça avec un simple dialogue sans nouvelle dépendance, mais le message en lui-même est très important. Si de nouveaux contrôles arrivent à l’avenir, je me demande si des portes de sortie comme ADB + Unknown sources resteront accessibles aux utilisateurs non root

    • En réalité, cette bibliothèque n’est qu’un wrapper autour de AlertDialog, avec juste une vérification dans SharedPreferences, et le niveau de finition laisse à désirer

  • Si cette bibliothèque est sous licence GPL, cela oblige à passer tout le projet en GPL aussi, ce qui est lourd pour un usage réel

    • La licence a été changée en Apache V2.0

  • Google a bien dit qu’il fournirait une porte de sortie aux étudiants ou aux développeurs amateurs ; j’espère qu’au final ce sera quelque chose comme activer le sideloading en tapotant cinq fois sur un libellé

    • La « porte de sortie » n’a pas le même sens pour le grand public et pour les ingénieurs ; pour le grand public, il faut que ce soit le plus accessible possible. Chez Apple, on ne peut installer qu’un petit nombre d’apps en les compilant soi-même, et même là la gestion de l’expiration des certificats est très pénible. Google suit finalement la même voie
    • Un certain nombre d’installations d’apps reste possible gratuitement Politique de vérification des développeurs Android

  • J’ai l’impression que la bonne réponse, c’est « éviter Google, surtout ne pas acheter de produits ou de téléphones Google » ; l’argent est le vrai langage des entreprises, et les géants de la tech ont toujours plusieurs coups d’avance sur la législation

    • Mais l’alternative, c’est iOS, qui impose déjà les mêmes restrictions depuis plus de dix ans, ou bien des OS de niche pour une infime minorité ; au final, ce n’est pas rentable à grande échelle
    • Ironiquement, les téléphones Google sont plutôt le meilleur choix pour contourner ce genre de restrictions, par exemple en installant un Android de-googled

  • Utiliser une dépendance juste pour afficher un dialogue, c’est excessif. Je suis d’accord sur le fait que Google rend Android de moins en moins libre, mais afficher simplement un dialogue suffit

    • En pratique, la qualité du code laisse aussi à désirer : les deux branches du if répètent presque le même code Exemple de code
    • Mais un dépôt comme celui-ci peut aussi avoir un effet plus symbolique en accumulant des stars et en se diffusant
    • Ce type de dépôt relève davantage du message social que de l’utilité pratique
    • Le principal point fort de la bibliothèque est de fournir un message d’avertissement localisé